Académique Documents
Professionnel Documents
Culture Documents
de la Sécurité Informatique
CHAPITRE 1
Par : Ali GHORBEL
Ali.ghorbel@esprit.tn
Présentation du module : Sécurité Informatique
Objectifs:
Illustrer les différents risques et sources de menaces dans les réseaux
informatiques/applications Web.
Identifier les principales failles et vulnérabilités dans les réseaux
informatiques/applications Web.
Comprendre les concepts principaux de la cryptographie et le fonctionnement
des différents moyens cryptographiques (chiffrement symétrique/asymétrique,
signature numérique et certificat)
Tester la sécurité de votre réseau/application,
Mettre en place une architecture réseau sécurisée
Manipuler les solutions (outils et équipements) et les techniques de sécurité
réseaux
Exploiter les outils de test des principales vulnérabilités Web.
Appliquer des correctifs pour sécuriser les applications Web.
Acquérir un niveau intermédiaire dans le domaine de la sécurité informatique en
réalisant différents scénarios pratiques.
Présentation du module : Sécurité Informatique
Durée:
Pré-requis:
Bonnes connaissances de Linux en ligne de commande
Connaissances Réseaux informatiques
Connaissances Développement Web
Notions de base Android
Mode d’évaluation:
Acquis:
Notions de base
de la Sécurité Informatique
Concepts clés
a) Préambule
b) Les enjeux
a. Préambule
Système d’Information (S.I.)
processus métiers
et informations
actifs supports
ISO/IEC 27005:2008
b. Les enjeux
b. Les enjeux
• Cyber délinquance
– Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Motivation politique, religieuse, etc.
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Les mercenaires agissant pour le compte de commanditaires
– …
1. Les enjeux de la sécurité des S.I.
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations
ou au PC d’individus ?
• Chantage
– Déni de service
– Modifications des données
• Espionnage
– Industriel / concurrentiel
– Étatique
• …
1. Les enjeux de la sécurité des S.I.
8 avril 2015
Infrastructure de diffusion (multiplexage)
Serveur de messagerie électronique
Coupure du réseau informatique
Site Web
Page officielle FB
1. Les enjeux de la sécurité des S.I.
Défacement de site
Vol de données
personnelles
1. Les enjeux de la sécurité des S.I.
f. Exemples de cyber-attaques célèbres:
Quelques exemples d’attaques ciblant l’enseignement
Vol de données
professionnelles
Vol de données de
la banque juillet USA Vol de données personnelles de 106 millions de clients
américaine Capital 2019 Canada de la banque américaine Capital One.
One
Les métiers
de la Sécurité Informatique
a) Perspectives d’embauche
b) Profils et Carrières
a. Perspectives d’embauche
Enjeu majeur
Renforcement du poids des experts en sécurité dans les entreprises
Compétences transversales:
adaptabilité et flexibilité
Métiers avec une forte demande annoncée pour les 15 prochaines années :
progression de la virtualisation de IT et des réseaux,
révolution digitale des services aux usagers (BToC) et entre entreprise
(BtoB),
Internet des objets…
Dans tous les secteurs privés banque, industrie, commerce…
Ainsi que dans le secteur public : administration, collectivité territoriale,
hôpitaux, universités…
Mais surtout au sein de sociétés de service, principaux employeurs de
diplômés depuis 20 ans pour intervenir en sous-traitance ou assistance
technique pour les entreprises et les administrations :
les organisations tendent à se concentrer sur leur métier et faire de la
délégation de service pour les fonctions supports dont la sécurité.
2. Les métiers de la sécurité informatique
a. Perspectives d’embauche
Tiers de confiance qui exploite des infrastructures pour des clients (produits/services de
l’intérieur (DGSI, police judiciaire, gendarmerie nationale), la CNIL : conseil, expertise, audit… ;
https://www.ssi.gouv.fr/uploads/2016/05/liste_metiers_ssi_v4_secnumedu_anssi.pdf
2. Les métiers de la sécurité informatique
b. Profils et carrières
b. Profils et carrières
b. Profils et carrières
La majeure partie des postes SSI sont occupés actuellement par des personnes
ayant une formation informatique ou télécom, s’étant spécialisées au cours de leur
carrière par des formations / certifications.
Certaines certifications en SSI peuvent être effectuées en 5 jours et se terminer par
un examen comme par exemple :
ISO 27001 Lead Auditor Compétence Technique : X
ISO 27001 Lead Implementor Compétence Management : XXX
b. Profils et carrières
CISSP: Professionnel certifié en sécurité des systèmes d’information
CCSP: Professionnel certifié de la sécurité des nuages
CEH: Hacker éthique certifié
CISM: Gestionnaire certifié de la sécurité de l’information
CHFI: Enquêteur judiciaire sur le piratage informatique
CISA: Auditeur de systèmes d’information certifié
CompTIA Security+
ISO/IEC 27001 - Lead Auditor
ISO/IEC 27001 - Lead Implementer
ISO/IEC 27005 - Risk Manager et Mehari
ISO 27032 - Lead Cybersecurity Manager
CCNP SECURITY
(SCOR: Implementing and Operating Cisco Security Core Technologies)
4.2.Les
Lesmétiers
métiers de la sécurité informatique
c. Cartographie des métiers et compétence en SSI
Les métiers se répartissent dans les familles de l’informatique et des réseaux.
Nb année Compétence Compétence
expérience technique management
Gouvernance des systèmes d’information
•Responsable ou Directeur 15 à 20 X XXX
•Chef de projet / Consultant MOA 5 à 15 XX XX
Conception et déploiement de système d’information
•Chef de projet / Consultant MOE 5 à 15 XX XX
•Architecte système 10 à 15 XXX
Développement logiciel et matériel
•Architecte/concepteur logiciel/composant 5 à 10 XXX
•Développeur logiciel (dont cryptologue) 0 à 10 XXX
Exploitation
•Technicien système et réseau 0 à 10 XXX
•Administrateur système et réseau 0 à 10 XXX X
•Analyste veille/gestion des incidents/forensics 0 à 10 XXX X
Validation / Audit
•Auditeur technique SSI (dont test intrusion) 0 à 10 XXX X
•Auditeur organisationnel SSI 5 à 10 X X
Compétence requise : X : peu de compétence XX : niveau moyen XXX : forte compétence
4.2.Les
Lesmétiers
métiers de la sécurité informatique
d. Positionnement des métiers au sein des organisations
La cybersécurité est transverse à toute activité qui requiert de l’informatique et des
réseaux de télécommunications, de la TPE à la multinationale, dans le domaine privé
ou public.
Opérationnels SSI :
Exploitants intégration,
configuration,
Administrateurs
administration,
Techniciens supports supervision et
réaction
4.2.Les
Lesmétiers
métiers de la sécurité informatique
d. Positionnement des métiers au sein des organisations
3 à 5 ETP
Responsable SSI : ¼ ETP du Dir. du
gouvernance et gestion de crise S.I.
5 à 10 ETP
Ingénieurs d’étude SSI : ¼ ETP des études
analyse de risque, mise en œuvre PSSI, audit… S.I.
20 à 50 ETP si H24
Opérationnels SSI : intégration, configuration, 1 ETP réparti sur 7/7
administration, supervision et réaction l’exploitation du
S.I.
4.2.Les
Lesmétiers
métiers de la sécurité informatique
e. Cartographie des métiers et compétence en SSI
Les métiers se répartissent dans le cycle de vie d’un projet depuis l’expression
de besoin jusqu’au retrait de l’exploitation sous la responsabilité de la
gouvernance globale de l’organisation.
Exploitation / maintien de
condition de sécurité
Expression de besoin /
maitrise d’ouvrage (MOA) veille des vulnérabilités
/ analyse forensics
Conception d’architecture /
Validation / audit organisationnel
maitrise d’œuvre (MOE)
/ test intrusion
Gouvernance de la sécurité
2.2.Intégrer
Les métiers de la dans
la sécurité sécurité informatique
les projets
Investigateur numérique
Métiers
Auditeur organisationnel
Auditeur technique
Consultant
3 critères sont retenus pour répondre à cette problématique, connus sous le nom de
D.I.C.
Disponibilité
Propriété d'accessibilité au moment voulu des biens par les personnes
autorisées (i.e. le bien doit être disponible durant les plages d’utilisation
prévues)
Intégrité
Propriété d'exactitude et de complétude des biens et informations (i.e.
une modification illégitime d’un bien doit pouvoir être détectée et corrigée)
Bien à
Confidentialité protéger
Propriété des biens de n'être accessibles qu'aux personnes autorisées
3. Les besoins de sécurité
b. Besoin de sécurité « Preuve »
Comment définir le niveau de sécurité d’un bien du S.I. ?
Comment évaluer si ce bien est correctement sécurisé ?
Preuve
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
lesquelles ce bien évolue. Cette propriété englobe
Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
L’imputabilité du responsable de l’action effectuée
Bien à
protéger
3. Les besoins de sécurité
c. Différences entre sureté et sécurité
« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.
Sûreté Sécurité
Protection contre les dysfonctionnements Protection contre les actions malveillantes
et accidents involontaires volontaires
Exemple de risque : saturation d’un point Exemple de risque : blocage d’un service,
d’accès, panne d’un disque, erreur modification d’informations, vol d’information
d’exécution, etc.
Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une échelle
permet de déterminer si ce bien est correctement sécurisé.
Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très fort) :
• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses
services sur internet :
Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de
garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de
sécurité participant à cette garantie :
D I C P
Mécanisme technique permettant de détecter toute attaque
Anti-virus virale qui a déjà été identifiée par la communauté sécurité
l’accès en
Contrôles d’accès Mécanismes permettant de restreindre
lecture/écriture/suppression aux ressources aux seules
logiques personnes dument habilitées
Notions de
mesure, attaque
a) Notion de « Vulnérabilité »
b) Notion de « Menace »
d) Notion de « Risque»
Vulnérabilités
4.a- Notion de vulnérabilité
4.a- Notion de vulnérabilité
Types de Vulnérabilités
4.a- Notion de vulnérabilité
Cause potentielle d’un incident, qui pourrait entrainer des dommages sur
un bien si cette menace se concrétisait.
Perte de service
Menaces
Code malveillant
4.b- Notion de « Menace »
4.b- Notion de « Menace »
Types de menaces:
4.b- Notion de « Menace »
Scénario de risque:
4.e- Notion de « Mesure de sécurité »
4.e- Notion de « Mesure de sécurité »
Relation objectifs-mesures:
4.e- Notion de « Mesure de sécurité »
Attaques
4.f- Notion d’« Attaque »
Affecte
directement Risque
Ressource
Peut endommager
Exposition
Provoque une
Protection Peut être
protégé par
4. Notions de vulnérabilité, menace, attaque
d. Exemples de vulnérabilités :
-5-
Panorama de quelques menaces et attaques
Etat
tiers
Groupe de Capacité
cybercriminels degré d’expertise et ressources
de la source de menaces
Concurrents
Exposition
opportunités et intérêts de la
Personnel
source de menaces
interne
Cyber-
délinquant
exposition
Exemple d’une cartographie des principales sources de menaces
qui pèsent sur un S.I.
Attention : cette cartographie doit être individualisée à chaque organisation car toutes les
organisations ne font pas face aux mêmes menaces.
Exemple : le S.I. d’une administration d’état ne fait pas face aux mêmes menaces que le S.I. d’un e-commerce ou d’une université
5. Panorama de quelques menaces et attaques
Déni de service
Virus informatique
distribué
5. Panorama de quelques menaces et attaques
les scénarios d’ingénierie sociale sont illimités, avec pour seules limites
l’imagination des attaquants et la naïveté des victimes…
5. Panorama de quelques menaces et attaques
http://www.wsj.com/articles/apple-celebrity-accounts-compromised-by-very-targeted-attack-1409683803
5. Panorama de quelques menaces et attaques
e. Fraude interne
Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme
« ! » ou « _ » et des chiffres) permettent – entre autre – à des attaquants de mener les
actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de passe
couramment utilisés (issus d’un dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très
efficaces dans le cadre de mots de passe simples, et sont beaucoup moins efficaces
dans le cas de mots de passe longs et complexes.
Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une faiblesse
significative pour la cybersécurité. En effet, les êtres humains n’ont pas la capacité de
mémoriser de nombreux mots de passe, complexes, différents pour chaque
application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer les
individus des problématiques des mots de passe. Quelques exemples : la biométrie,
les tokens USB, les matrices papier, la vérification via un code SMS, les « one time
password », etc.
5. Panorama de quelques menaces et attaques
Les intrusions informatiques constituent des « attaques ciblées » qui exploitent une ou des
vulnérabilité(s) technique(s) pour dérober des informations confidentielles (ex. : mots de passe, carte
bancaire…) ou prendre le contrôle des serveurs ou postes de travail
Depuis le réseau Internet sur les ressources exposées : sites institutionnels, services de e-commerce, services
d’accès distant, service de messagerie, etc.
Depuis le réseau interne sur l’Active Directory ou les applications sensibles internes
Active Directory : est un système d’annuaire sous Windows répertoriant les ressources du réseau notamment les sites, les
machines, les utilisateurs.
5. Panorama de quelques menaces et attaques
g. Virus informatique
Les virus informatiques constituent des « attaques massives » qui tendent…
• à devenir de plus en plus ciblés sur un secteur d’activité (télécommunication, banque, défense, énergie, etc.)
• à devenir de plus en plus sophistiqués et furtifs
Le déni de service distribué (DDoS) constitue une « attaque ciblée » qui consiste à saturer un site
Web de requêtes pour le mettre « hors-service » à l’aide de « botnets », réseaux d’ordinateurs infectés
et contrôlés par les attaquants
34,5 heures
durée moyenne d’une attaque
48,25 Gbps
bande passante moyenne d’une attaque
Milliers ou millions
d’ordinateurs infectés,
prêts à attaquer une cible
sur ordre de l’attaquant
Serveurs de
commande
Un botnet est un ensemble de systèmes (relais)
contrôlables par un attaquant via des serveurs
de commande. Les propriétaires de ces
systèmes ne savent pas que leur PC participe à
un botnet (leur PC a été compromis au préalable
et à leur insu via l’exploitation d’une vulnérabilité)
Attaquant contrôlant le botnet
5. Panorama de quelques menaces et attaques
j. Modèle de menaces
Un modèle de menace est une approche structurée qui vous aide à prédire les
menaces potentielles pesant sur la sécurité des informations. La menace potentielle
que vous découvrez lorsque vous effectuez une modélisation des menaces vous
permet de créer un plan précis de gestion des risques. La prédiction des menaces
vous permet de réduire votre risque de manière proactive.
Quizz time
a. Architecture
Lab:
b. Kali Linux
c. Metasploitable 2
Par défaut, les interfaces réseau Metasploitable sont liés au NAT des
adaptateurs réseau Host-only
https://sourceforge.net/projects/metasploitable/files/
Lab:
d. DVWA